O Centro Nacional de Cibersegurança (NCSC) voltou a chamar a atenção para um aumento do número de mensagens de correio eletrónico perigosas, após uma breve interrupção nas últimas duas semanas. Estas mensagens utilizam passagens de texto de correspondência eletrónica anterior para levar os destinatários a acreditar que o contacto já foi estabelecido. Como tanto o remetente como a comunicação anterior são familiares à vítima, há uma maior probabilidade de esta clicar numa ligação contida no e-mail, levando à instalação de malware. Neste caso, trata-se do "DarkGate", um malware com caraterísticas avançadas e um mecanismo que convida ao ransomware.
A tática do engano: a velha comunicação por correio eletrónico como arma
O método de usar históricos de comunicação antigos para realizar manobras enganosas não é novo. Em 2019, o malware "Emotet" utilizou esta técnica, conhecida como "dynamite phishing", para enganar as vítimas e levá-las a abrir um documento. O malware procurava e-mails nos ficheiros Outlook das vítimas em dispositivos infectados e utilizava-os para enviar o malware a outras potenciais vítimas. Como a comunicação antiga é conhecida pelo destinatário, a probabilidade de o anexo malicioso ser aberto aumenta.
O legado do malware "Emotet" e a sequela com o "Qakbot
Após a desativação temporária da rede "Emotet" no início de 2021, o malware "Qakbot" assumiu este método, utilizando a comunicação antiga. Embora o "Qakbot" já estivesse a ser utilizado há mais de dez anos, foi temporariamente distribuído através da rede "Emotet" como um módulo malicioso adicional. Curiosamente, no verão de 2020, os autores do "Qakbot" implementaram o chamado "módulo de recolha de correio eletrónico", que utilizava credenciais roubadas para extrair mensagens de correio eletrónico dos clientes Microsoft Outlook das vítimas e utilizá-las para outros ataques.
Em agosto de 2023, o "Qakbot" teve um destino semelhante ao do "Emotet". As autoridades policiais dos EUA e da Europa assumiram o controlo da infraestrutura de comando e controlo da rede de bots. Como resultado, os atacantes perderam o controlo dos PCs infectados. No entanto, os criminosos não foram apanhados e a infraestrutura de spam foi apenas parcialmente desmantelada.
Ascensão do "DarkGate": uma nova ameaça com funções alargadas
Nas últimas semanas, o "DarkGate" tornou-se o centro das atenções, uma vez que este malware utiliza a tecnologia de comunicação antiga. Neste caso, um documento PDF com uma ligação para o malware é anexado à mensagem de spam.
O "DarkGate" está ativo desde 2017, mas foi apenas neste verão que o malware ganhou maior notoriedade quando o suposto desenvolvedor anunciou novos recursos. Estas funcionalidades vão para além de um downloader tradicional e incluem acesso remoto oculto, um proxy reverso e um ladrão de tokens Discord, bem como a capacidade de roubar o histórico de navegação. Acredita-se que os grupos criminosos que anteriormente utilizavam o "Qakbot" tenham agora mudado para o "DarkGate".
Antiga comunicação, novo abuso
Vale a pena notar que algumas das comunicações utilizadas nas últimas variantes do malware são muito antigas. Neste caso, remonta a 2017, pelo que se pode assumir que o malware não está atualmente a intercetar quaisquer comunicações de correio eletrónico actuais, mas sim a aceder a bases de dados que foram roubadas há anos por outros actores.
De acordo com um relatório do fornecedor de serviços de segurança Trendmicro, o "DarkGate" também utiliza outros canais de comunicação e propaga-se através de contas pirateadas do Skype e do Microsoft Teams, por exemplo. À semelhança da tática do e-mail, a conta Skype comprometida já esteve em contacto com a vítima e parece fornecer um ficheiro PDF. Na realidade, porém, trata-se de um script VB (Visual Basic Script) malicioso. Este script tenta então descarregar e instalar o malware.
O NCSC dá os seguintes conselhos sobre como se proteger de infecções por malware:
- Ter em atenção que mensagens electrónicas maliciosas podem também vir de remetentes que reconhece.
- Estar atento se uma comunicação anteriormente interrompida for retomada inesperadamente.
- Abrir anexos de correio eletrónico com cuidado, mesmo que provenham de fontes supostamente fiáveis.
Fonte de referência
Esta informação é cortesia do Centro Nacional de Cibersegurança (NCSC). Visite o sítio Web oficial do NCSC para obter mais informações e recursos sobre cibersegurança: https://www.ncsc.admin.ch/ncsc/de/home.html.